TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTTKT & TMĐT KHÓA LUẬN TỐT NGHIỆP ĐỀ TÀI: GIẢI PHÁP ĐẢM BẢO AN TỒN BẢO MẬT THƠNG TIN CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO HÀ NỘI - 2019 LỜI CẢM ƠN Sau thời gian nghiên cứu thực khóa luận tốt nghiệp với đề tài: “Giải pháp đảm bảo an tồn bảo mật thơng tin Cơng ty Cổ phần phần mềm Bravo” ngồi cố gắng thân, em nhận nhiều giúp đỡ từ phía nhà trường, thầy cơ, ban lãnh đạo nhân viên Công ty Cổ phần phần mềm Bravo Lời đầu tiên, em xin gửi lời cảm ơn sâu sắc tới Th.S Nguyễn Quang Trung–người thầy hướng dẫn, giúp đỡ em nhiều trình thực luận văn, giúp em định hướng đường, bước đắn kỹ nghiên cứu cần thiết khác Em xin gửi lời cảm ơn tới thầy & cô giáo Khoa Hệ thống thông tin kinh tế Thương mại điện tử động viên khích lệ mà em nhận suốt trình học tập trường Em xin gửi lời cảm ơn chân thành tới Anh Đoàn Văn Quyền anh/chị làm việc Công ty Cổ phần phần mềm Bravo quan tâm, giúp đỡ, ủng hộ hỗ trợ cho em trình thực tập nghiên cứu - thu thập tài liệu Đây đề tài không phức tạp nghiên cứu chuyên sâu vấn đề nhiều giới hạn Mặt khác, thời gian nghiên cứu khóa luận hạn hẹp, trình độ khả thân em cịn hạn chế Vì vậy, khóa luận chắn gặp phải nhiều sai sót Em kính mong q thầy bảo giúp đỡ để khóa luận hồn thiện Em xin chân thành cảm ơn! Hà Nội, ngày tháng 12 năm 2019 Sinh viên thực Ngọc Trần Thị Huyền Ngọc MỤC LỤC LỜI CẢM ƠN .i MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC BẢNG BIỂU v DANH MỤC HÌNH VẼ vi PHẦN MỞ ĐẦU 1 TẦM QUAN TRỌNG VÀ Ý NGHĨA CỦA ĐỀ TÀI MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU PHƯƠNG PHÁP NGHIÊN CỨU KẾT CẤU KHÓA LUẬN CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU 1.1.MỘT SỐ KHÁI NIỆM CƠ BẢN 1.1.1 Khái niệm liệu- thông tin 1.1.2 Khái niệm hệ thống thông tin, hệ thống thông tin quản lý 1.1.3 Khái niệm an toàn - bảo mật thông tin 1.2.MỘT SỐ LÝ THUYẾT VỀ VẤN ĐỀ NGHIÊN CỨU 1.2.1.Các nhân tố ảnh hưởng đến ATBM HTTT doanh nghiệp 1.2.2 Các nguy hình thức cơng HTTT doanh nghiệp 1.2.3.Các phương pháp-Kỹ thuật phịng tránh ATBM thơng tin 1.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU 10 1.3.1 Tổng quan tình hình nghiên cứu nước: .10 1.3.2 Tổng quan tình hình nghiên cứu nước: .11 CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO 13 2.1 GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 13 2.1.1.Giới thiệu chung công ty 13 2.1.2 Quá trình thành lập phát triển cơng ty Cổ phần Phần mềm Bravo 13 2.1.3 Giới thiệu cấu tổ chức tình trạng hoạt động Doanh Nghiệp 14 2.1.4 Báo cáo tài thu chi, lợi nhuận năm gần 16 2.1.5 Chiến lược định hướng phát triển công ty thời gian tới 17 2.2 THỰC TRẠNG CỦA CÔNG TÁC ATBM-HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO 18 2.2.1.Các phần cứng công ty sử dụng 18 2.2.2.Các phần mềm công ty sử dụng 19 2.2.3 Hệ thống mạng: 19 2.2.4 Cơ sở liệu 19 2.2.5 Nguồn nhân lực CNTT công ty .19 2.2.6 HTTT chung 19 2.2.7 Hạ tầng công nghệ thông tin công ty 19 2.2.8 Thông tin Website doanh nghiệp 20 2.2.9 Phương thức thu thập xử lý thông tin 20 2.2.10.Kết xử lý phiếu khảo sát xử lý liệu thứ cấp 21 2.3 ĐÁNH GIÁ THỰC TRẠNG CÔNG TÁC ATBM HTTT TRONG CÔNG TY CỔ PHẨN PHẨN MỀM BRAVO 25 CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO ATBM CHO HTTT CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 27 3.1.ĐỊNH HƯỚNG PHÁT TRIỂN 27 3.2.ĐỀ XUẤT GIẢI PHÁP NHẰM NÂNG CAO HIỆU QUẢ ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 28 3.2.1.Bảo mật nâng cấp hệ thống máy chủ 29 3.2.2 Đào tạo nhân lực 31 3.2.3.Bảo mật sở liệu 33 3.2.4 Sử dụng giải pháp phòng chống mã độc CMDD (CMC Malware Detection and Defense) .33 3.2.5 Sử dụng dịch vụ bảo mật 35 3.3 MỘT SỐ ĐỀ XUẤT KIẾN NGHỊ VỀ ATBM HTTT ĐỐI VỚI CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 36 KẾT LUẬN 38 DANH MỤC TÀI LIỆU THAM KHẢO PHỤ LỤC DANH MỤC TỪ VIẾT TẮT STT Từ Viết Tắt Nghĩa ATBM An toàn bảo mật ATTT An tồn thơng tin CNTT Cơng nghệ thông tin CSDL Cơ sở liệu ĐHDL Đại học Dân lập ĐHQGHN Đại học Quốc gia Hà Nội ĐN Đà Nẵng HCM Hồ Chí Minh HN Hà Nội 10 HTTT Hệ thống thông tin 11 IT Công nghệ thông tin 12 QTG Quyền tác giả 13 TMĐT Thương mại điện tử 14 TNDN Thu nhập doanh nghiệp 15 TP Thành phố 16 TPHCM Thành phố Hồ Chí Minh 17 TT Thơng tin 18 UBND Ủy ban nhân dân DANH MỤC BẢNG BIỂU STT Danh mục Tên bảng biểu Trang Bảng 2.1 Số liệu nhân viên miền 16 Bảng 2.2 Kết hoạt động kinh doanh năm (20162018) 16 Bảng 2.3 Tên phần cứng 18 Biểu đồ 2.1 Vai trò bảo mật CSDL q trình quản lý HTTT cơng ty 21 Biểu đồ 2.2 Biểu đồ mức độ bảo mật công ty 22 Biểu đồ 2.3 Cách thức bảo mật mà công ty sử dụng 23 Biểu đồ 2.4 Mức độ bảo vệ liệu công ty Cổ phẩn Phần mềm Bravo 23 Biểu đồ 2.5 Mức độ trở ngại thực việc đảm bảo an toàn bảo mật công ty Cổ phẩn Phần mềm Bravo 24 Bảng 3.1 Các lỗi hệ thống cách khắc phục Cơng ty 34 DANH MỤC HÌNH VẼ STT Danh mục Tên hình vẽ Trang Hình 2.1 Sơ đồ tổ chức Công ty Cổ phần Phần mềm BRAVO 15 Hình 2.2 Trang Web cơng ty- nguồn từ http://www.bravo.com.vn 20 Hình 3.1 Ảnh cài đặt CMDD cloud 34 PHẦN MỞ ĐẦU TẦM QUAN TRỌNG VÀ Ý NGHĨA CỦA ĐỀ TÀI Như thấy, Internet CNTT ngày phát triển mạnh mẽ Việc ứng dụng CNTT vào hệ thống doanh nghiệp mang lại cho doanh nghiệp lợi ích khơng nhỏ: Giúp việc nắm bắt thơng tin cách xác, đầy đủ kịp thời, góp phần nâng cao hiệu kinh doanh, giúp doanh nghiệp phát triển bền vững trước thay đổi xã hội Bên cạnh đó, có vấn đề quan trọng mà cần đặc biệt ý “Nguy an tồn thông tin doanh nghiệp” – Sự bùng nổ cơng nghệ đẩy người dùng chí doanh nghiệp đối mặt với nguy thông tin mật bị rị rỉ bên ngồi HTTT Cơng ty Cổ phần Phần mềm Bravo chứa nhiều thông tin quan trọng cá nhân nhân viên, đối tác, khách hàng đặc biệt tài liệu mật công ty Việc liệu- thơng tin bị hay rị rỉ ngồi Hacker, virus, malware ảnh hưởng trực tiếp – vơ nặng nề gây thất tiền bạc,tài sản, người gây ảnh hưởng tới hoạt động kinh doanh, uy tín thương hiệu cơng ty khách hàng đối tác Rủi ro thơng tin ảnh hưởng uy tín phát triển cơng ty vấn đề khó tránh khỏi Và việc áp dụng giải pháp an toàn, bảo mật thơng tin đem lại lợi ích cho cơng ty lớn, khơng giúp tránh bị đánh cắp thơng tin mà cịn giúp cơng ty tạo niềm tin khách hàng Một số sách bảo mật thông tin mà công ty áp dụng nhiều mức khác như: sử dụng mật cho thông tin liệu, sử dụng phần mềm diệt virus cho máy tính cơng ty, hệ thống tường lửa Nhưng với phát triển vượt bậc CNTT, mối đe dọa ngày nhiều, phương pháp kể chưa thể bảo đảm an tồn cách triệt để Chính vậy, cần phải có giải pháp tối ưu để đảm bảo an tồn bảo mật cho HTTT Cơng ty Thơng qua q trình thực tập tìm hiểu Công ty cổ phần Phần mềm Bravo em xin đề xuất đề tài khóa luận: “Giải pháp đảm bảo an tồn bảo mật cho HTTT cơng ty Cổ phần Phần mềm Bravo” MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU 2.1 Mục tiêu nghiên cứu Đề xuất số giải pháp đảm bảo ATTT nhằm nâng cao tính ATTT cho Công ty cổ phần Phần mềm Bravo 2.2 Nhiệm vụ nghiên cứu - Làm rõ sở lý luận an toàn bảo mật HTTT công ty Cổ phần Phần mềm Bravo - Xem xét & đánh giá phân tích thực trạng vấn đề an toàn bảo mật HTTT dựa tài liệu thu thập - Trên sở lý luận thực trạng đề giải pháp nâng cao tính an toàn bảo mật HTTT Cổ phần Phần mềm Bravo ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU 3.1 Đối tượng nghiên cứu Giải pháp đảm bảo an toàn bảo mật cho HTTT công ty Cổ phần Phần mềm Bravo bao gồm: phần cứng, phần mềm, CSDL hệ thống mạng 3.2 Phạm vi nghiên cứu Là đề tài luận văn sinh viên, nên phạm vi nghiên cứu giới hạn nội công ty khoảng thời gian ngắn : - Về không gian: Quá trình nghiên cứu thực công ty Cổ phần Phần mềm Bravo nhằm đưa giải pháp tối ưu cho công ty - Về thời gian: Các số liệu thu thập báo cáo tài cơng ty từ năm 2016-2018 số liệu thu thập phiếu khảo sát công ty Cổ phần Phần mềm Bravo PHƯƠNG PHÁP NGHIÊN CỨU Đề tài sử dụng phương pháp sau: Phương pháp thu thập liệu: Đây phương pháp thu thập thông tin, liệu đối tượng cần tìm hiểu Sử dụng phiếu điều tra gồm câu hỏi xoay quanh tình hình kinh doanh hoạt động vấn đề đảm bảo an toàn bảo mật HTTT hiệu hoạt động công ty Cổ phần Phần mềm Bravo Phiếu phát cho nhân viên cơng ty để thu thập ý kiến Mục đích phương pháp nhằm thu thập thông tin tình hình sở vật chất, tình hình kinh doanh hoạt động ATBM HTTT để từ đánh giá thực trạng triển khai đưa giải pháp phù hợp với HTTT Phương pháp sử dụng cho chương khoá luận để thu thập liệu liên quan đến vấn đề an tồn bảo mật cơng ty Cổ phần Phần mềm Bravo Phương pháp xử lý liệu: Sau phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật, ta tiến hành tổng hợp tài liệu, có nhìn tổng quan tồn cảnh cụ thể tình hình nghiên cứu có liên quan đến đề tài Sử dụng phần mềm SPSS (Statistical Package for Social Sciences) Đây phần mềm cung cấp hệ thống quản lý liệu phân tích thống kê mơi trường đồ họa, sử dụng trình đơn mơ tả hộp thoại đơn giản để thực hầu hết cơng việc thống kê, phân tích số liệu Người dùng dễ dàng sử dụng để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị Phương pháp sử dụng cho chương chương khoá luận để thu thập liệu liên quan đến vấn đề an toàn bảo mật Cổ phần Phần mềm Bravo Phương pháp nghiên cứu tài liệu: ngồi việc nghiên cứu giáo trình nhà trường em tham khảo nghiên cứu luận văn, nghiên cứu khoa học trường Đại học Thương Mại trường đại học khác KẾT CẤU KHĨA LUẬN Ngồi phần mục lục, danh mục viết tắt, danh mục bảng biểu, danh mục hình vẽ phần mở đầu kết cấu khóa luận gồm chương: Chương 1: Cơ sở lý luận vấn đề nghiên cứu 1.1 Một số khái niệm 1.2 Một số lý thuyết vấn đề nghiên cứu 1.3 Tổng quan tình hình nghiên cứu Chương 2: Phân tích, đánh giá thực trạng ATBM thơng tin HTTT công ty Cổ phần phần mềm Bravo 2.1 Giới thiệu chung công ty Cổ phần Phần mềm Bravo 2.2 Thực trạng công tác ATBM HTTT công ty Cổ phần Phần mềm Bravo 2.3 Đánh giá thực trạng công tác ATBM HTTT công ty Cổ phần Phần mềm Bravo Chương 3: Định hướng phát triển đề xuất giải pháp ATBM cho HTTT công ty Cổ phần Phần mềm Bravo 3.1.Định hướng phát triển 3.2.Đề xuất giải pháp nhằm nâng cao hiệu ATBM thông tin HTTT công ty Cổ phần Phần mềm Bravo 3.3 Một số đề xuất, kiến nghị ATBM HTTT đối công ty Cổ phần Phần mềm Bravo CHƯƠNG 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU Dựa định hướng ban lãnh đạo công ty Cổ phần Phần mềm Bravo HTTT cơng ty tương lai, khóa luận đưa số giải pháp nhằm hướng tới mục tiêu mà công ty đề 3.2.ĐỀ XUẤT GIẢI PHÁP NHẰM NÂNG CAO HIỆU QUẢ ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO Chỉ riêng với tháng đầu năm nay: Theo báo cáo Bộ Thông tin Truyền thông ghi nhận 3159 công mạng vào hệ thống thông tin Việt Nam Trong số có 968 cơng thay đổi giao diện (Deface), 635 cong cài cắm mật mã độc (Malware), 1556 công lừa đảo (Phishing) Từ thống kê cho thấy, số lượng cơng chủ yếu hình thức cơng Phishing Riêng với hình thức giảm nhiều so với kỳ năm ngoái, số cho thấy tình hình bảo đảm an tồn, an ninh mạng Việt Nam có chuyển biến, đặc biệt chiến dịch xử lý mã độc Hà Nội Thành Phố Hồ Chí Minh thời gian vừa qua thể hiệu định Trong tháng đầu năm 2019, Việt Nam thu thập phân tích 54 chiến dịch công nguy hiểm, tiêu biểu sau: Chiến dịch cơng có chủ đích đến từ nhóm tin tặc Muddy Waters nhắm tới quan Ngân hàng hay Chính phủ; Chiến dịch cài cắm mã độc AveMaria; Chiến dịch phát tán mã độc HawkEye Reborn; Chính dịch phát tán mã độc MegaCortex Chiến dịch cơng có chủ đích đến từ nhóm tin tặc TaiMahal phát tán mã độc nhằm mục đích đánh cắp thông tin nhạy cảm Hệ thống giám sát Bộ Thông tin truyền thông ghi nhận số lượng kiện an toàn mạng tăng khoảng 9% so với kỳ năm ngoái Các vụ công nguy hiểm liên quan đến mã độc hệ thống phủ tăng gấp lần so với năm ngoái Qua đây, ta thấy tin tặc cơng mã độc có ảnh hưởng lớn, khó phịng tránh khó xử lý kịp thời vấn đề xảy Chính thế, để đảm bảo HTTT công ty Cổ phần Phần mềm Bravo phịng tránh nguy trên, em xin đề xuất số giải pháp để đảm bảo an tồn liệu cho Cơng ty Cổ phần Phần mềm Bravo cụ thể sau:  Bảo mật nâng cấp hệ thống máy chủ  Đào tạo nhân lực  Bảo mật sở liệu  Giải pháp CMDD 28  Sử dụng dịch vụ bảo mật 3.2.1.Bảo mật nâng cấp hệ thống máy chủ Xã hội ngày phát triển, tốc độ CNTT ngày quan tâm nên vấn đề bảo mật thông tin quan trọng Những lỗi hệ thống vấn đề mà công ty quan tâm tìm cách khắc phục Lỗi thường phát sinh làm việc nên việc xử lý lỗi quan trọng để không ảnh hưởng tới tiến độ công việc Dưới bảng thu thập lần lỗi hệ thống cách khắc phục nhân viên IT Công ty Cổ phần Phần mềm Bravo Bảng 3.1 Các lỗi hệ thống cách khắc phục Công ty ST T Lỗi Cách khắc phục Lỗi kết nối máy chủ Khôi phục lại hệ thống cách sử dụng System Restore (tính cho phép khôi phục máy trở update gần nhất) Window + R > Gõ rstrui.exe > Chọn System Restore Hoặc thiết lập lại hệ thống cách: Start > Settings > Updates & Security > Recovery > Tại mục Reset This PC chọn Get started Sai thông tin đăng Mở liệu account check lại thông tin nhập Window Firewall máy Start > Control Panel > Windows Firewall > Turn Windows chủ chặn truy cập Firewall On or Off > Chọn Off Mất liệu Server Error Server Busy Mật đơn giản dễ Để nâng cao tính bảo mật an toàn cho hệ thống cá bị đánh cắp nhân để mật an tồn cách sử dụng chữ hoa, chữ thường, số, ký tự đặc biệt tăng độ phức tạp mật Khôi phục từ phần lưu Cả hai hệ thống bận không xuất thông tin nhiều người truy cập vào thời điểm để khắc phục vấn đề cách tải lại refresh trang, xóa nhớ cache cookies trình duyệt Từ bảng thấy lỗi xảy với máy chủ cũ khắc phục, nhiên lỗi mà hệ thống gặp phải tìm cách khắc phục sử dụng thêm thời gian lâu có lỗi phát sinh mà khác công nghệ đối tác công ty Cổ phần Phần mềm Bravo Mặc dù 29 nhân viên phòng ban kỹ thuật khắc phục thời gian xử lý lỗi lâu dẫn đến công việc nhân viên tồn đọng, nhân viên khai thác sở liệu từ hệ thống máy chủ dẫn đến giấy tờ hợp đồng khách hàng không kịp để ký kết ảnh hưởng mặt kinh tế uy tín cơng ty Hiện Công ty Cổ phần Phần mềm Bravo sử dụng máy chủ HPE ProLiant ML Gen9 E3-1225v5 khóa luận đề xuất thay hệ thống máy chủ HP ML150 Gen9 CTO E5-2620v4 Sau đề xuất thay đổi máy chủ công ty Cổ phần Phần mềm Bravo lưu ý thực việc thay đổi: - Với vi xử lý máy chủ cũ khó khăn việc kiểm tra xuất thơng tin với máy chủ ProLiant ML150 Gen9 HPE thiết kế cho SMB có tới hai vi xử lý, yếu tố hình thức tháp có giá đỡ gắn kết Tích hợp thơng minh, với cân quyền lưu trữ, hiệu suất, hiệu quả, quản lý đủ khoảng không cho nâng cấp tương lai cho doanh nghiệp Hỗ trợ lên đến hai xử lý Intel Xeon E5-2600 với 18 lõi v4 120W cung cấp hiệu cải thiện hiệu Giúp ngăn ngừa liệu thời gian chết với xử lý lỗi nâng cao đồng thời nâng cao suất hiệu suất lượng lên đến khe cắm (16) HPE DDR4 DIMM - Với máy chủ cũ công ty việc hạn chế khe cắm cổng USB với máy chủ có khả mở rộng linh hoạt đến khe cắm mở rộng Pcle, cổng USB cổng tùy chọn khác Nhiệt độ máy chủ cũ cao khiến công ty phải đầu tư vào vào nhiệt máy chủ cải thiện môi trường với tiêu chuẩn nhiệt độ ASHRAE để giúp giảm chi phí làm mát A31 HPE hỗ trợ dịch vụ đặc biệt 24x7 toàn giới công cụ quản lý từ xa để giảm chi phí CNTT, đồng thời hỗ trợ doanh nghiệp khắc phục cố kịp thời Các lưu ý nâng cấp máy chủ: Backup liệu thẩm định Không tạo thay đổi hệ thống máy chủ cũ, nâng cấp nhỏ, trước xác nhận có backup liệu chắn dành cho HP ML150 Bất thực thay đổi với máy chủ cũ khơng có bảo đảm máy chủ làm việc Cân nhắc việc tạo backup image 30 Khi nâng cấp gặp vấn đề đó, disk image khơi phục cách nhanh chóng khơng liệu mà cịn cấu hình phức tạp máy chủ Máy chủ cơng ty nên tạo backup image để phịng trường hợp máy chủ không hoạt động hết liệu Không tạo nhiều thay đổi lúc Việc thay nhớ, cài đặt lại số card bổ sung nhiệm vụ khác tất có nên thực cách riêng rẽ tối thiểu hóa số lần khởi động lại máy chủ vơ quan trọng Khi có vấn đề xảy q trình tìm thành phần gây cố điều khó khăn Chính để tránh khó khăn khơng đáng có khơng nên tạo nhiều thay đổi lúc cho máy chủ Kiểm tra ghi kỹ lưỡng sau thực thay đổi Khi nâng cấp máy chủ phải kiểm tra file ghi, báo cáo lỗi, hoạt động backup kiện quan trọng khác cách tỉ mỉ Sử dụng báo cáo hiệu suất bên Windows hay tiện ích kiểm tra bên thứ ba, chẳng hạn tiện ích HoundDog GFI Software PacketTrap Quest Software, để bảo đảm tất diễn tốt đẹp dự định hoàn tất việc thay đổi nâng cấp Công ty ngày phát triển ngày mở rộng quy mô nên hệ thống máy chủ thông minh điều mà công ty nên quan tâm hàng đầu Tuy chi phí máy chủ có cao đổi lại hiệu suất làm việc thời gian hệ thống lỗi giảm xuống, lợi ích kinh tế tăng lên gấp nhiều lần Vậy nên công ty nên cân nhắc thay đổi máy chủ 3.2.2 Đào tạo nhân lực Con người yếu tố quan trọng nhất, ảnh hưởng trực tiếp tới kết bảo mật thông tin doanh nghiệp Năng lực ATTT tốt giảm thiểu tối đa tác động xấu đến HTTT, cịn nhân viên cơng ty khơng quan tâm, để ý hay khơng có kiến thức việc phải đảm bảo ATBM thơng tin, doanh nghiệp có nâng cấp phần cứng hay sử dụng phần mềm tiên tiến đến đâu khơng đảm bảo HTTT doanh nghiệp an tồn Chính đào tạo nguồn lực việc thiếu doanh nghiệp - Tuyển dụng thêm nhân viên IT để giảm thời gian chờ đợi, tăng hiệu suất công việc - Thường xuyên cho nhân viên tham gia khóa học nghiệp vụ nâng cao kiến thức công nghệ thông tin kiến thức an tồn bảo mật thơng tin Nêu 31 tác hại việc nhân viên khơng có kiến thức ATBM ảnh hưởng - Tổ chức buổi công tác thực tế cho nhân viên tiếp cận với thiết bị phần mềm đề phịng hệ thống bị bị hacker nhịm ngó nhân viên công ty phát kịp thời có biện pháp ngăn chặn để đảm bảo thơng tin công ty bảo mật - Mời chuyên viên an ninh thông tin đến giảng dạy thuyết trình trực tiếp cho tồn nhân viên cơng ty để tồn cơng ty hiểu rõ vấn đề bảo mật, nâng cao nhận thức phần quan trọng để bảo vệ thông tin mà cơng ty thực Mặt khác, cơng ty cần có sách, quy định cụ thể nhân viên vấn đề liên quan đến ATTT cơng ty: - Quản lí nghiêm khắc nhân viên - Yêu cầu nhân viên hạn chế tối đa việc sử dụng mạng xã hội làm việc - Ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng - Hồn thành cơng việc cơng ty không mang công việc nhà riêng Tất thông tin khách hàng, đối tác hay thông tin nội cơng ty phải đảm bảo bí mật tất nhân viên phải ký thỏa thuận - Việc xử lý, loại bỏ tư liệu, giấy tờ liên quan đến hoạt động công ty phải hủy qua máy tài liệu Các loại giấy tờ, thơng tin, phần mềm in ấn vi tính không mang khỏi công ty - Giáo dục đạo đức nghề nghiệp cho nhân viên - Đưa chế an toàn liên quan đến việc tuyển, sử dụng nhân viên sa thải nhân viên; kịp thời bố trí, điều chỉnh, điều động cán bộ, nhân viên - Nêu mức phạt nhân viên khơng có ý thức bảo mật liệu cơng ty, cho sa thải nhân viên cố tình đánh cắp thơng tin cơng ty 3.2.3.Bảo mật sở liệu Công ty Cổ phần phần mềm Bravo sử dụng hệ quản trị sở liệu SQL Server 2017 với đặc trưng: Mã hóa suốt hiệu quả, khả giám sát thơng minh, tính ổn định cao, cho phép quản lý CSDL hiệu quả, khả tích hợp với System Center, 32 lập trình dễ dàng hiệu quả, lưu trữ nhiều loại liệu, khả thao tác song hành bảng liệu phân vùng Với đặc điểm đó, ATBM HTTT cơng ty đảm bảo Công ty cần quan tâm tới số vấn đề sau: - Thiết lập cấu hình CSDL an tồn - Gỡ bỏ CSDL khơng dùng để tránh thông tin - Luôn cập nhật lỗi để sửa kịp thời, sử dụng công cụ để đánh giá, tìm kiếm lỗ hổ ng từ máy chủ - Ln có chế độ lưu tài liệu, quản lý chặt chẽ tài khoản phân quyền - Quản lý, giám sát tất phương pháp đăng nhập hệ thống từ xa 3.2.4 Sử dụng giải pháp phòng chống mã độc CMDD (CMC Malware Detection and Defense) Một giải pháp tiên tiến giải pháp CMDD công ty CMC Cyber Security phát triển: 33 Hình 3.1.Ảnh cài đặt CMDD cloud Tính năng: - Làm chắn bảo vệ máy tính cá nhân an tồn khỏi nguy cơng từ mã độc; Giám sát hoạt động bất thường gây nguy hại máy tính; Phát lỗ hổng, phần mềm độc hại kết nối nguy hiểm - Hệ thống giám sát chủ động từ phía CMC Cyber Security cho phép xác định khoanh vùng nguy cho khách hàng - Dịch vụ hỗ trợ, ứng cứu giảm thiểu rủi ro cho khách hàng xảy công - Cung cấp báo cáo tình trạng an ninh an tồn thơng tin cho khách hàng nhanh chóng, kịp thời đầy đủ - Ngăn chặn phát tán mã độc từ USB: Cơ chế giám sát hành động tệp tin, từ tầng lõi hệ thống phát ngăn chặn nguy mã độc phát tán từ thiết bị lưu trữ gắn dùng kết nối USB - Kết nối tiêu chuẩn - Phát mã độc Exploit, ẩn liệu: Phát lấy lại nội dung nguyên từ mã độc làm giả tệp tin tài liệu chèn mã khai thác để tần công vào hệ thống - Chống mã độc làm ẩn tệp tin, tạo Shortcut - Ra lệnh từ xa cho nhóm hay tất máy trạm hệ thống quét Virus vào thời điểm bất kỳ: cho phép người quản trị đặt lịch quét định kỳ, 34 ngăn chặn lây lan virus mạng cách tiến hành kiểm tra quét virus điểm nghi ngờ, đảm bảo việc quét virus tiến hành thường xuyên đồng - Tính báo cáo: báo cáo mã độc theo thời gian thực, báo cáo mã độc theo mã độc, báo cáo thống kê mã độc theo máy trạm, báo cáo sử dụng USB trái phép - Chức chia sẻ, kết nối thông tin mã độc hệ thống: Ưu điểm: - Chống mã độc: Phần mềm áp dụng công nghẹ tiên tiến nên hệ thống tự cập nhật xử lý mã độc chúng xâm nhật Giúp xử lý mã độc lây lan qua đĩa, USB hay qua copy file Các mã đọc lây lan qua lỗ hổng phần mềm - Giúp thiết lập sách chặt chẽ: Cho phép lập sách đa dạng với máy hệ thống ngăn chặn nhiều ứng dụng chưa rõ nguồn gốc hay ngăn sử dụng USB - Giám sát an ninh hệ thống: Giúp đảm bảo an toàn tuyệt đối liệu cho khách hàng, giúp cho khách hàng chủ động việc phát xử lý vấn đề liên quan đến mã độc hệ thống doanh nghiệp - Hỗ trợ kỹ thuật 24/7: Khi hệ thống bị lây nhiễm mã độc, có đội ngũ phân tích mã độc đảm bảo cập nhật liệu nhận dạng mã độc 24h sau phát nguy - Đáp ứng tiêu chuẩn kỹ thuật Bộ Thông tin truyền thông 3.2.5 Sử dụng dịch vụ bảo mật HPT cung cấp dịch vụ an ninh mạng kèm với nội dung sau:  Kiểm định hộp đen (Black-box): Giả định người công (hacker) thông tin hệ thống doanh nghiệp tiến hành công vào thành phần hệ thống  Kiểm định hộp trắng (White-box): Giả định hacker cung cấp đầy đủ thông tin hệ thống sơ đồ hệ thống, danh sách ứng dụng hệ điều hành vận hành  Kiểm định hộp xám (Gray-box): Giả định hacker cung cấp tài khoản người dùng thông thường tiến hành công vào hệ thống nhân viên doanh nghiệp Dịch vụ đánh giá an ninh hệ thống (Penetration testing) Dịch vụ đánh giá mã nguồn ứng dụng (Source-code auditing) 35 - Dịch vụ thực thông qua việc kiểm tra tổng thể hệ thống, bao gồm sách an ninh, cấu hình thiết bị mạng, ứng dụng hệ thống, độ an toàn vật lý hệ thống, … theo tiêu chuẩn ISO 27001, đồng thời đưa khuyến nghị bảo mật phù hợp cho hệ thống doanh nghiệp Dịch vụ bao gồm khảo sát đánh giá thông tin sau:  Mơ hình kết nối hệ thống  Thiết bị mạng (Router, Switch, …)  Thiết bị, phần mềm an ninh mạng (Tường lửa, hệ thống phát ngăn chặn công, hệ thống mạng riêng ảo VPN, …)  Các sách an ninh  Hệ thống máy chủ  Hệ thống lưu phục hồi liệu Dịch vụ tư vấn bảo mật tổng thể bảo mật theo nhu cầu  Tư vấn bảo mật tổng thể (Total security consultant)  HPT tiến hành khảo sát tổng thể hệ thống, phân tích chi tiết rủi ro nguy an ninh thơng tin, để từ tư vấn tổng thể bảo mật lộ trình đầu tư bảo mật phù hợp với hệ thống khách hàng  Tư vấn bảo mật theo nhu cầu (On-demand security consultant)  Tùy thuộc nhu cầu cụ thể khách hàng (ví dụ: cần tư vấn bảo mật đầu cuối, bảo mật ứng dụng hay bảo vệ mức cổng hệ thống, …) HPT khảo sát phân tích cụ thể thành phần hệ thống liên quan, từ tư vấn chi tiết giải pháp/dịch vụ an ninh cần triển khai giúp đáp ứng nhu cầu an ninh khách hàng 3.3 MỘT SỐ ĐỀ XUẤT KIẾN NGHỊ VỀ ATBM HTTT ĐỐI VỚI CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO Qua tìm hiểu thực trạng cơng ty, em thấy công ty cần trọng đầu tư vào việc thực giải pháp đảm bảo an tồn thơng tin Hằng năm, nên dự trù khoản kinh phí để phát triển ứng dụng cơng nghệ thơng tin sử dụng cho mục đích nghiên cứu, ứng dụng công nghệ vào hệ thống thông tin doanh nghiệp, đảm bảo tương đối vấn đề an tồn thơng tin, liệu Có sách đào tạo, bồi dưỡng nghiệp vụ cho đội ngũ nhân viên kiến thức an tồn bảo mật thơng tin, kỹ sử dụng máy tính, phịng chống nguy an 36 tồn thơng tin Ngồi ra, cơng ty nên tăng cường thêm nhân viên phận CNTT chuyên ATBM để bảo đảm HTTT hoạt động ổn đinh Ngoài ra, để bảo vệ an ninh mạng an toàn thông tin, doanh nghiệp, đơn vị tổ chức cần phối hợp chặt chẽ với nhau, đồng thời có chế phối hợp với tổ chức bảo mật nước Ngày quy mô khả lan rộng nguy bảo mật không gói gọn quốc gia KẾT LUẬN Đảm bảo an tồn thơng tin, liệu ln mối quan tâm hàng đầu quan, tổ chức, cá nhân Để xây dựng mạng riêng mà tránh khỏi cơng khơng thể, xây dựng mạng có tính an tồn cao theo u cầu cụ thể cách áp dụng phương pháp nhằm 37 mục đích hạn chế, ngăn chặn tối đa vụ cơng Vì việc kết nối mạng nội doanh nghiệp vào mạng internet mà biện pháp đảm bảo an ninh, an tồn nguy hiểm, ảnh hưởng nghiêm trọng đến hoạt động binh thường quan, tổ chức, đơn vị Để đảm bảo an tồn thơng tin, liệu cần thực giải pháp tổng thể kỹ thuật, người, sở vật chất Những giải pháp cần thực thường xun, liên tục cơng nghệ thông tin phát sinh, phát triển theo thời gian Nghiên cứu đề tài “Giải pháp đảm bảo an tồn bảo mật thơng tin cơng ty Cổ phần Phần mềm Bravo”, luận văn hoàn thành mục tiêu đặt trình nghiên cứu có đóng góp chủ yếu sau đây: Thứ nhất, tập hợp hệ thống hóa số lý thuyết an tồn bảo mật hệ thống thơng tin Thứ hai, xem xét đánh giá thực trạng vấn đề an tồn bảo mật HTTT cơng ty Cổ phần Phần mềm Bravo, tìm điểm mạnh điểm yếu cơng tác ATBM để từ xác định vấn đề đưa đề xuất phù hợp Thứ ba, sở lý luận thực trạng đề giải pháp nâng cao ATBM HTTT công Cổ phần Phần mềm Bravo nâng cao trình độ hiểu biết ATBM cho nhân viên công ty, thay đổi hệ thống máy chủ, đầu tư phần mềm phục vụ cho công việc quản lý cơng ty Trong q trình nghiên cứu, hạn chế mặt nhận thức thời gian nên luận văn khơng tránh khỏi thiếu sót Em mong nhận ý kiến đóng góp để luận văn hoàn thiện 38 DANH MỤC TÀI LIỆU THAM KHẢO Đàm Gia Mạnh (2009), Giáo trình an toàn liệu thương mại điện tử, NXB Thống Kê, Hà Nội Nguyễn Khanh Văn (2014), Giáo trình, Cơ sở An tồn Thơng tin, Đại học Bách Khoa Hà Nội Nguyễn Minh Quang (2012), Luận văn thạc sĩ, Nghiên cứu số giải pháp an toàn bảo mật thông tin giao dịch thương mại điện tử, Học viện Cơng nghệ Bưu Viễn thơng Nguyễn Thị Hội, Side giảng An tồn bảo mật thông tin doanh nghiệp Slide giảng học phần: Hệ thống thông tin quản lý trường đại học Thương mại Man Young Rhee (2003), internet Security: Cryptographic Principles, Algorithms and Prtocols John Wiley & Son William Stalling (2011) Crytography and network security principles and practices, Frouth Editio, Prentice Hall Website tham khảo: https://www.bravo.com.vn/, https://cmccybersecurity.com/ Ngồi ra, nguồn thơng tin cịn lấy từ việc vấn, tham khảo ý kiến nhân viên công ty Cổ phần Phần mềm Bravo PHỤ LỤC PHIẾU ĐIỀU TRA KHẢO SÁT TÌNH HÌNH ỨNG DỤNG CNTT TẠI CÔNG TY TỔNG QUAN VỀ CÔNG TY Thông tin công ty người điền phiếu Họ tên người điền phiếu:……………………………………………………… Chức vụ:……………………………………………………………………… Tên công ty: ………………………………………………………………… Địa trụ sở chính:………………………………………………………… Điện thoại:…………………… Fax: …………………………… Địa website:……… Email:………………………… Năm thành lập công ty:……………………………………………………… Số lượng nhân viên công ty ( ) Dưới 100 người ( ) Từ 100 – 500 người ( ) Từ 500 – 1000 người ( ) Trên 1000 người Loại hình doanh nghiệp cơng ty: ( ) Cơng ty tư nhân ( ) Cơng ty tài ( ) Công ty trách nhiệm hữu hạn ( ) Công ty cổ phần ( ) Công ty nhà nước Lĩnh vực hoạt động kinh doanh chính: ( ) bn bán tổng hợp ( ) Phần mềm ( ) bảo trì thiết bị gia dụng ( ) tư vấn tài ( ) khác : ……………… THỰC TRẠNG CƠ SỞ HẠ TẦNG CNTT TẠI CÔNG TY Cơ sở nhân lực công nghệ thông tin, HTTT Số lượng cán có đại học, Đại học ………… người Số lượng cán hoạt động lĩnh vực CNTT: người Tỷ lệ nhân viên thành thạo kỹ tin học ( ) Dưới 5% ( ) Từ 5% - 20% ( ) Từ 20% - 50% ( )Từ 50% - 80% ( ) Trên 80% Số lượng máy in:………………… Số lượng máy chiếu: …… Máy chủ cài đặt hệ điều hành gì? … Cơng ty sử dụng phần mềm nào?(ghi tên phần mềm) ………………………………………………………………………………… ………………………………………………………………………………… VẤN ĐỀ AN TOÀN BẢO MẬT 1.Cơng ty có nhân viên quản trị hệ thống thơng tin khơng [ ] Có [ ] Khơng 2.Cơng ty có quan tâm đến vấn đề an tồn bảo mật không? [ ] Rất quan tâm [ ] Quan tâm [ ] Không quan tâm 3.Mức độ quan trọng an tồn bảo mật thơng tin [ ] Rất quan trọng [ ] Quan trọng [ ] Không quan trọng 4.Hiện tại, công ty sử dụng phần mềm an toàn bảo mật nào? [ ] Phần mềm diệt virus [ ] Phân quyền người dùng [ ] Tường lửa [ ] Sử dụng thiết bị vật lý [ ] Khác…………………… Đánh giá mức độ tiếp cận thơng tin, tài liệu cơng ty [ ] Khó [ ] Bình thường [ ] Dễ 6.Đánh giá chất lượng việc đảm bảo an tồn thơng tin công ty [ ] Rất tốt [ ] Khá tốt [ ] Tốt [ ] Không tốt 7.Công ty bị đánh cắp thông tin, liệu chưa [ ] Rồi [ ] Chưa Nếu rồi, lần đánh cắp có gây hậu nghiêm trọng khơng [ ] Rất Nghiêm Trọng [ ] Bình Thường [ ] Khơng Nghiêm Trọng Những trở ngại công ty thực giải phải ATBM thông tin: ( ) Nguồn nhân lực ( ) Tài ( ) Cơ sở hạ tầng ( ) khác 10.Đề xuất giải pháp đảm bảo an tồn bảo mật cho cơng ty ……………… ………………………………………………………………………………………… ... HTTT công ty Cổ phần Phần mềm Bravo 2.3 Đánh giá thực trạng công tác ATBM HTTT công ty Cổ phần Phần mềm Bravo Chương 3: Định hướng phát triển đề xuất giải pháp ATBM cho HTTT công ty Cổ phần Phần... TRONG HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO 2.1 GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 2.1.1.Giới thiệu chung công ty Tên đầy đủ : Công ty Cổ phần phần mềm BRAVO Tên tiếng anh : BRAVO Software... HTTT CỦA CÔNG TY CỔ PHẨN PHẦN MỀM BRAVO 13 2.1 GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN PHẦN MỀM BRAVO 13 2.1.1.Giới thiệu chung công ty 13 2.1.2 Quá trình thành lập phát triển công ty Cổ phần